La Ser, Everis y otras empresas bloqueadas por ransomware

ZaEk

Curro en Everis y nos han mandado a casa a los 300 de la oficina, flipa. No sabemos si mañana iremos a currar o que...

4 respuestas
Vandalus

#61 pff de una cárnica así, puedes esperar cualquier cosa xD

SikorZ

#56 Eso crees tú xD... Si que pagaron empresas e incluso ayuntamientos.

Si crees que una gran empresa va a pagar y tú te vas a entrar en el periódico es que eres muy ingenuo.

#57 La info es bastante variada y nada fiable por ahora, en algunos lados que es day0 en otro que es un bug de MS Teams, etc..

#59 No es dejadez, ¿Cómo te crees que los gobiernos espían a otros gobiernos?

De hecho ahora lo hacen a lo descarado, directamente fuerzan a Google/Apple y demás a instalar backdoors en sus soluciones. El que piense que "actualizando con Windows Update" no le van a hackear es muy inocente y ademas no tiene nada que merezca la pena hackear.

Dime tú, ¿cómo te defiendes ante un exploit que toma control del SO a distancia y que nadie conoce?

¿Y cuando el grupo que lo hace no sólo tiene vulns para Windows pero también para demás sistemas?

2 respuestas
AikonCWD

#61 mientras os paguen. Ya irás contando lo que puedas.

1 respuesta
B
#63SikorZ:

¿cómo te defiendes ante un exploit que toma control del SO a distancia y que nadie conoce?

¿Políticas de red estrictas y cortafuegos?

2 respuestas
B

#61 Tocará ir adelantando el trabajo en papel mientras que no tengais ordenadores, no seais vagos.

AikonCWD

El exploit de teams permite ejecución remota de código sin escalar privilegios. Al parecer el bicho entra en forma de phising (mail, etc) y una vez entra en un PC usa el Teams para expandirse por la red local. Si van con software sin parchear y con admin local... ggwp

SikorZ

#65 Basta que entre en 1 PC, ese PC llegue a otro PC, el otro a otro y vice versa.

Tarde o temprano acaba en todos lados, porque acaba llegando a máquinas que tengan mas de una red.

La seguridad total no existe, sólo la sensación de seguridad.

mongui

Yo curro en everis tambien y hoy me quede en casa. Trate de logarme en Skype al punto de la mañana y dije, ñe, que raro que no me inicie sesión, de ahi fui tirando del hilo y encontré en la deep web ya registros de que la cosa habia empezado y he visto como ha avanzado todo xDD

#61 En que oficina estas?

1 respuesta
ReEpER

#63 De momento este no parece day 0, y el ultimo ramson grande tampoco fué un day0 como tal usaba una cosa que a estaba parcheada.

No te niego la existencia de day0

#65 un day 0 se saltaria eso depende como, ytampoco vas a tener whitelist en absolutamente todo. Piensa que el problema es la propagacion en local, una vez ya ha habido una brecha, ahí ya no te salvan las politicas y los firewalls.

Yo por ejemplo en mi empresa soy de los pocos que puedo hacer deploy directamente en producción, a nivel de firewall/network para mi es como un campo abierto.

1 respuesta
ZaEk

Todo ha sido sobre las 8.20 am , lo que he tardado en enchufarlo, ver correo ir a echar un cafe y volver ya habian capado la red.

1 respuesta
SikorZ

#70 Ya ahí no entro, no tengo ni puta idea de qué exploit utiliza o deja de utilizar éste, pero los hay a puñados aunque no los conozcamos.

Es más, si te metes un poco en el tema verás que se venden por precios astronómicos.

#70ReEpER:

un day 0 se saltaria eso depende como, ytampoco vas a tener whitelist en absolutamente todo. Piensa que el problema es la propagacion en local, una vez ya ha habido una brecha, ahí ya no te salvan las politicas y los firewalls.

Efectivamente, sólo hace falta que se infecte un PC de la red y a los 3 minutos todos KO

1 respuesta
AikonCWD

#72 Utiliza el exploit de Squirel publicado hace 1 semana. Se propaga usando Microsoft Teams. de ahí que las empesas que utilizan Office365 se hayan visto afectadas.

2 respuestas
St3in3R

#73 Joder, pues la mía lo usa y nanai, no les gustaremos por pequeñajos.

1 respuesta
mongui

#71 Como dije, yo estaba en remoto y a las 6 y algo que es cuando conecte, no iba. De ahi en adelante, la historia es conocida. El update por mi parte es que sigue estando todo en pañales, equipos offline y estan evaluando lo que supone todo este problema. Yo estoy en proyectos internacionales con clientes que la seguridad es una premisa ultra sensible, no se como afectará esto a los contratos/proyectos que estan on going...

1 respuesta
AikonCWD

#74 La entrada es como siempre usando phising, luego usan Teams para propagarse a los equipos locales. Hasta he leído que usa WOL para infectar todavía más PC's xd, pero de esto último no tengo confirmación

angel222

Da igual lo que les saquen a la SER, de todas formas la pagamos todos xD

ZaEk

#75 Es que imaginate si vendes ciberseguridad etc a otras empresas y tienes un ataque así de sonado, yo creo que esto va para largo...

1 respuesta
Kenderr

Lel, pues en el santander han empexado hace unos meses a usar teams a saco.

Con suerte mañana me encuentro la catastrofe

2 respuestas
ReEpER

#73 Si ha sido publicado hace una semana, es que hace mas tiempo que ya estaba parcheado o me equivoco?

1 respuesta
BadHistorian

Por qué decís lo del carnicero? Tengo un familiar que curró allí y hablaba maravillas ( era jefecilla)

1 respuesta
St3in3R

#79 Si no ha pasado ya, no creo que pase... aquí lo único que he notado es que los externos de Everis que vienen hoy no han aparecido xD

1 respuesta
Kenderr

#82 al santander le afecto dos semanas despues que al resto el wannacry xd.

Aunque desde aquello estan muy nazis.

1
mongui

#78 Lo se. Hace un año y medio hubo una auditoria en Madrid del cliente que tenemos y fue todo bien, en las instalaciones de Telefonica. Todo sin problemas, pero claro, ahora, pone en entredicho muchas cosas...

#81 Cuando se hablan de carnicas, es porque venden carne al peso, vamos, nosotros, que nos tratan como carne/mercaderia. Por mi parte, llevo 2 años y sin miras de cambiar, me han ofrecido mas pasta en otros sitios pero valoro otras cosas antes que el dinero y sigo acá, tengo mucha carrera para desarrollar y ni pienso en marcharme de momento, pero claro, en todos los sitios cuecen habas...

AikonCWD

#80 Ni idea sobre el estado del parche, pero posiblemente sea el típico exploit que se conoce desde hace bastante tiempo atrás

AikonCWD

aquí un pequeño PoC, esto es lo que han utilizado para la propagación masiva en LAN

Y aquí un poco más de info: https://www.bleepingcomputer.com/news/security/microsoft-teams-can-be-used-to-download-and-run-malicious-packages/

A parte el bicho intenta explotar más vulnerabilidades como la Blue de Escritorio Remoto/RDP, y un largo etc.

edit:

Reverse engineer Reegun Richard tested the issue on Microsoft Teams and reported it to the company on June 4. The application continues to be vulnerable at this point as Microsoft informed the researcher that the fix would come in a future release of the software.

En fin. xddddddd

11
B

Entonces hay que darle las gracias a Microsoft :clap: :clap: :clap:

Tuskus

Y yo hoy de vacaciones, que desgraciao soy, me hubiese ido a casa xD.

A ver si mañana sigue con suerte xDD

SpiuK

Decir que puede propagar a través de teams y echarle la culpa a teams no tiene mucho sentido.

Para eso alguien tiene que obtener el regalito.

B

En Twitter estaban especulando que pudo colarse por PC con cuentas de usuario con privilegios de administrador.

Si Everis, que es una consultora tecnológica, ha caído en eso, se lo merecen.

1 respuesta